LSPeL Porin toiminta-alueen kevätseminaari Pori, 15.2.2018 Antti Ali-Raatikainen Kerosiinitie 26, 20360 Turku Satakunnankatu 3, 28100 Pori puh. (02) 511 7711 e-mail: toimisto@lspel.fi www.lspel.fi
EU:n tietosuoja-asetus tuli voimaan keväällä 2016 ja sovellettavaksi 25.5.2018 = tähän mennessä tehtävä analyysi, vastaavatko toimijan henkilötietojen käsittelykäytännöt uusia vaatimuksia (sis. mm. tietoturva, ja kriisiviestintä) korvaa 1995 annetun henkilötietodirektiivin riskipohjainen lähestymistapa (vähentää ylisääntelyä sekä riskiä) tietosuoja-asiat huomioon jo toiminnan suunnittelussa yhtenäiset käytännöt EU-alueella, luottamus digitalisaation lisääntyessä
Koskee kaikkia toimijoita, jotka käsittelevät henkilötietoja (yritys, yhdistys, viranomainen toimijan koko ja toimintamuoto ei vaikuta) Henkilötieto on tieto, joka voidaan yhdistää tiettyyn henkilöön (nimi, puhelin- tms. numero, valokuva yms., mahd. jopa ip-osoite) Erityinen henkilötieto = arkaluonteiset tiedot (rotu, uskonto, poliittinen suuntautuminen ym.) Henkilötiedon käsittelyä on kaikki näihin liittyvät toimet (kerääminen, käyttö, tallennus, järjestäminen, säilytys, luovutus, päivitys, suojaaminen, poisto/tuhoaminen jne.) Erityisen henkilötiedon käsittely on lähtökohtaisesti kielletty muusta kuin erityisestä syystä (esim. työnantajavelvoite sairaspoissaolotiedoissa)
Henkilötiedot muodostavat henkilörekistereitä: Palokunnilla mm. jäsenluettelot, yhteystiedostot, koulutus-, harjoitus- ja kuntotiedostot ja rekisterit palokuntayhdistys on asetuksen tarkoittama rekisterinpitäjä henkilö, jonka tiedot ovat rekisterissä on rekisteröity
Henkilötietojen käsittelyn (alkaen keräämisestä) tulee perustua: sopimukseen suostumukseen (vapaaehtoinen ja tietoinen, alle 18 v. vanhempien lupa) kaikille oma käyttäjätunnus järjestelmään, jossa suostumus kysytään, tai kirjallinen suostumus lakiin rekisteröidyn suojaamiseen oikeutettuun etuun TAI julkiseen tehtävään Toimijan tulee varmistua em. tietojen käsittelyperusteen olemassaolosta ja tarvittaessa pystyä dokumentoidusti osoittamaan, että se noudattaa tietosuoja-asetusta (osoitusvelvollisuus).
Asetuksen periaatteita: tietoja kerätään tiettyyn tarkoitukseen ei saa kerätä enemmän kuin välttämätöntä käsittelyn turvallisuus (tietoturva) käsittelyn läpinäkyvyys tietoja säilytetään vain välttämättömän ajan Henkilötietojen käsittelijällä asetuksessa tarkoitetaan rekisterin pitäjän ulkopuolista tahoa, jolle tietojen käsittely on ulkoistettu rekisterin pitäjän lukuun. käsittelijältä saatava riittävät takeet tietojen käsittelyn asetuksenmukaisuudesta (kirjallinen sopimus)
Tietosuojavastaava suositellaan nimettävän yhdistykseen toiminta selkeytyy, kun asia on yksissä käsissä. Tietosuojasuunnitelma =dokumentti, joka sisältää yhdistyksen toimintamallit henkilötietojen käsittelyyn sekä järjestelmäkuvaukset toteuttaa osaltaan osoitusvelvollisuutta
Rekisteröidyn oikeudet: ennen tietojen keräämistä ilmoitetaan rekisterinpitäjän sekä mahd. tietosuojavastaavan yhteystiedot ajantasainen kuvaus henkilötietojen käsittelystä julkisesti saatavilla (esim. ilmoitustaulu) oikeus tietää mitä tietoa kerätty pääsy omiin tietoihin myös alle 18-vuotiaalla tarkastusoikeus omiin tietoihinsa annetaan kaikille rekisteröidyille oma käyttäjätunnus pyydettäessä toimitetaan dokumentti ko. henkilön tiedoista oikeus tietojen poistamiseen vanhentuneet tiedot tietojen keruuluvan peruminen kaikkien tietojen poistaminen Perumisen oltava yhtä helppoa kuin luvan antamisen saa tiedon mahd. tietoturvaloukkauksesta
Tietoturvaloukkaus Rekisteröidyn lisäksi tietoturvaloukkauksesta on tehtävä ilmoitus myös valvontaviranomaiselle. Ilmoituksen viranomaisille tulee tehdä jo 72 tunnin kuluessa tietomurron havaitsemisesta rekisteröidyille ilman aiheetonta viivytystä Toimijoilla on näin ollen oltava valmiudet tietoturvaloukkausten havaitsemiseen, niistä ilmoittamiseen sekä vahinkojen minimointiin. EU:n tietosuoja-asetuksen laiminlyönnistä voidaan tuomita sakkorangaistus.